BugCON '12

Well.. all is ready for BugCON '12 or I think so…

Five years ago I founded BugCON, the first edition was a little meeting with close friends, people who are very involved in security research, hackers, script kiddies, etc, etc… and I created it with the idea of a free hacker convention, where all people who wants can show their research.

Currently these dream happens. BugCON is not a comercial event like bSecure Conference or a low level conference like UNAM Security Conference. BugCON is the most important hacker convention in Mexico, and BugCON's comite don't say that, people say that, reseachers say that, speakers around the country and in USA, Argentina, Spain, Ecuador, etc, etc say that… all people who wants to participate can do it. Hackers from Mexico and other places follow our efforts year with year.

I only can offer thanks, thanks a lot of every body who do BugCON possible, thanks to my friend Armin who coordinates de BugCON's comite (ok, there isn't a comite, but if it would exist obviously Armin would coordinate it), Maf who are our principal sysadmin, webmaster, “milusos”.. our staff who are ready to help us next week, and friends like hkm who totally support BugCON, Sandino Araico who support this kind of inicitavies, our gold sponsor ESET thanks a lot to Gisele Giabetti, and our friends like nitr0us, Hugo, calderpwn, hecky, and all that you know. Our parnters eKoparty at Argentina, RootedCON at Spain, H2HC at Brazil, DragonJar, SuricataIDS, IPN, etc.

Belive when I say if you get a little of knowledge, inspiration or what ever from BugCON we feel fulfilled. BugCON tries that, create a security culture, show the mexican research, be a point of party for all hackers and inspire new people.

BugCON Security Conference: Safety us just a myth…!

More info/Registry: www.bugcon.org

And of course, after CON… (organized by nitr0us):

Vulgarización de las luchas

Hasta ayer en todo Internet y fuera de él existía una lucha por la defensa de la libertad en un medio intangible de información que representa hasta el momento el “espacio” más grande de intercambio de información. De todo tipo de información. Montones de empresas, organizaciones y “twitteros” mostraron su apoyo a la lucha anti-SOPA (y anti todas las leyes que intentan restringir Internet).

Sin embargo hoy, con el cierre de Megaupload, la lucha se vulgarizó, hoy quienes hacen más ruido en la “lucha” son aquellos molestos por no poder ver sus serie, descargar warez o ver la H extremo, para colmo, Anonymous, un grupo que ya no tiene pies ni cabeza y que estupidamente “ataca” lo que sea dice haber salido a la lucha de la libertad.

¿En realidad el gobierno de EU cometió un error al cerrar Megaupload? o ¿simplemente justificó la iniciativa SOPA?. Hasta ayer era imposible debatir con Wikipedia, Facebook, Google, etc, etc.. las razones que ellos daban para estar en contra de SOPA eran contundenetes, hoy quienes reclaman y hacen ruido contra SOPA son presisamente aquellos por los que los gobiernos e industria intentan imponer restricciones a Internet, aquellos que no buscan compartir información o conocimientos, sino aquellos que buscan descargar contenidos protegidos por derechos de autor.

Para mi el cierre de Megaupload fue un movimiento ingenioso de EU, ahora quienes son visibles en la lucha por la libertad son personas que no entienden ni les importa el concepto de libertad, solo quieren ver sus series. Ahora EU y la industría está tranquila, no tiene más que hacer que los congresos y senados miren las redes sociales para mostrarles que ellos tienen razón, la gente no está interesada en compartir conocimiento, solo está interesada en “robar” contenidos.

Y así como algún día #internetnecesario acabo con un Internet libre de políticos vulgarizando las redes sociales, hoy #sopa #acta #pipa #anonhispano #anonymous y montones de hashtags más acaban de reducir el valor de los argumentos de los opositores a las restricciones en Internet.

-_-U

Artículo: "La ciberseguridad: la ciencia de lo incierto y de los necios"

My friend Carlos A. Ayala wrote a column for b:Secure Magazine. Read it and write your opinion

Cuando me hablan de riesgo y administración del riesgo, no puedo dejar más que esbozar una sonrisa, y mirar con ternura y ciertamente un mucho de admiración al aventurado y siempre muy seguro analista de riesgo, tengo varios amigos muy respetados en el medio que se dedican a estos menesteres y me parecen brillantes. Sin embargo siempre aterrizamos en lo mismo en este polémico tema, que me recuerda a la película de Darren Aronofsky PI el orden del caos.

En esta cinta,  Max (el protagonista), a los 6 años de edad y desobedeciendo a su madre  se quedó mirando fijamente al Sol. A raíz de este suceso comienza a padecer una especie de crisis de migraña intensa que le obliga a medicarse con toda clase de drogas  para aliviar el dolor â��a veces necesarias para entender a los analistas de riesgoâ��. En paralelo al malestar, Max adquiere una facilidad para las matemáticas. Tiempo después ejecuta un algoritmo y obtiene lo que parece ser un error, obtiene la predicción de que la bolsa va a caer y una serie, de unos 200 dígitos numéricos, aparentemente sin sentido. Debido al resultado absurdo Max decide desechar los números. Sin embargo, al otro día la bolsa cae. Tiempo después los judíos le comentan al protagonista que el número que buscan tiene 216 dígitos y resulta ser el nombre de Dioâ��. Esta mensaje me pone a pensar que a veces pareciera que buscamos el algoritmo, número o indicador que precise cómo cuantificar lo incuantificable. En ese sentido, la percepción no tiene un poco que ver con la seguridad, al contrario tiene todo que ver con ella.

Si percibes una amenaza como pequeña se percibe que el riesgo por ende es leve, esto genera una falsa sensación de seguridad. Pero la pregunta es: Â¿Quién o quiénes son los que perciben y contextualizan esta amenaza? Es aquí donde las reglas del juego cambian porque no es lo mismo  â��y nunca lo seráâ�� la forma en que las personas perciben o observan un hecho, objeto o suceso, y desde esa perspectiva la seguridad no es la excepción.

Todas las variables existentes del proceso, del entorno tecnológico y la gente per-se influyen en la ecuación. No me mal interpreten, el análisis del riesgo y de las vulnerabilidades de la amenaza son elementos que forman parte del proceso porque proporcionan resultados diferentes y nos muestra una visión general. Sin embargo pareciera que cada vez nos alejan más de la realidad. Sabemos que se fundamentan en valores no cuantificables, aspectos subjetivos y aún así no me explico porqué queremos seguir, al más puro estilo tecnócrata ochentero, el proceso de la administración del riesgo, queriendo modelar lo â��inmodelableâ��, queriendo que el mundo y todo a su alrededor se adapte a modelos matemáticos y estándares. Pero no olvidamos que estos factores primero deben de observar y adaptarse para luego poder modelar. Su función es buscar, en mayor o menor medida, lineamientos que nos lleven a un proceso cuantificable.

El problema es que la seguridad no opera así, pues si bien en ocasiones se apega al método científico y a la técnica  y los procesos, la realidad es que muchas veces tiene que ver más con el azar, mucho más de arte que de ciencia y  en ese escenario hay un mundo de fallas y valores de incertidumbre muy grande. Cuando hacemos respuesta a incidentes aprendemos que podemos aplicar técnicas de combate en donde todo es modelable, requiere de conocimiento y los hallazgos son repetibles. Por otra parte, las técnicas de caza demandan experiencia y los hallazgos no son repetibles, ni modelables mucho menos cuantificables, es por eso que el combate defensivo es fundamental para cambiar los paradigmas del riesgo, y nos vuelve más pragmáticos, nos enseña a esperar los inesperado, a tratar de pensar fuera de la caja, a no fundamentarnos en la cuantificación, a no confundir la improbabilidad con imposibilidad y a no descartar ni el más mínimo indicador de compromiso. Porque cualquier cosa que nos pudiera parecer imposible, quizá no es más que el reflejo de nuestra propia inexperiencia o de la típica asimetría que envuelve al juego de la seguridad, en donde a la cabeza por lo regular va el talento del adversario.

Es por ello que la Teoría del Cisne Negro de Nassim Nicholas Taleb, me parece que juega un rol más preponderante en estos días y va más acorde con las amenazas a las que actualmente nos enfrentamos. Esta teoría nos dice: â��Lo improbable llega a ser lo probable basado en la improbabilidad percibida asociada con los actos, ideas, escenarios, entornosâ�¦â��

 

En mi percepción la gente que se enfoca en el análisis del riesgo cae en el facilismo de a todo querer ponerle números y cuantificar cosas que no tienen materialización, queriendo controlar lo incontrolable por naturaleza, que es el talento humano y que siempre hará diferencia. El talento detrás del código, del mecanismo, de la técnica, ese es el verdadero adversario no el artefacto tras el compromiso. Y que en la mayoría de los casos dista mucho de ser entendido. Para que al final en el mejor de los escenarios del análisis previo sólo resulte un tablero que bosqueje con la miopía tradicional con la que simplificamos todo en un semáforo con tipificación alta, media y baja. Con colorcitos rojo para alta, naranja para la media y verde para baja. Los controles compensatorios ni siquiera se enumeran en la ecuación de riesgo y, ciertamente, desempeñan un papel fundamental en el resultado de los multiplicadores y en la estimación final del riesgo por el simple hecho que la aplicación de controles compensatorios tiene un efecto reductivo en la cuantificación de la vulnerabilidad, mientras que la ausencia de estos tienen un efecto opuesto.

La estandarización es otro animal que no se entiende en general, y las discusiones en la mesa con un par de cervezas resultan casi siempre en una guerra santa, porque un conjunto de elementos o buenas prácticas simplemente no es una biblia. De hecho hay una cantidad de vulnerabilidades procedimentales que en ocasiones se omiten, porque aunque parezca insistente nos movemos en el terreno de la incertidumbre y valores no cuantificables.

Y para muestra un ejemplo práctico muy simple, PCI en grandes rasgos habla de 12 requerimientos, en algunos de ellos se habla de instalar y mantener una configuración de firewall para proteger los datos del tarjeta habiente, proteger los datos almacenados del tarjeta habiente, monitorear y dar seguimiento a todos los accesos de los recursos de red y datos de la tarjeta. Pero supongamos hipotéticamente que se cumple con estos puntos y nos llega el típico auditor a avalar la implantación del estándar, logrando el resultado y encontrando el â��santo grialâ�� que es el certificado PCI. Certificado que nos sirve nada y nada menos que para adornar la pared en el centro de atención de clientes. Claro, después de anunciarlo en todos los medios, el consumidor luego entonces cree por inducción y un sinfín de publicidad que su información está segura. Revisando como pudiéramos cubrir uno de esos puntos del estándar, eligiendo entre usar un IDS o un IPS, para hacer la inspección a profundidad, monitoreo y prevención, uno de estos controles compensatorios detecta pero no detiene la amenaza, el otro puede hacerlo, si usas un IDS o IPS en ambos casos cumples el requerimiento pero el aspecto técnico de mitigación es un mundo de diferencia. Insisto cumples el punto del estándar pero en caso de un ataque asumiendo que ambos pueden identificarlo, uno lo detecta pero no lo bloquea, luego entonces el ataque es exitoso y te comprometen. Por otra parte, la solución en línea lo detiene y mitiga si está configurado para ello ya sea por una firma o filtro. Â¿Cómo le explicas de entrada antes de cuantificar esto al patrocinador del proyecto que, con todo y su PCI, han comprometido la información  de sus tarjeta habientes? Elegiste un IDS y cumpliste el requerimiento, el â��santo grialâ�� así lo avala. Los estándares tienen un elemento muy grande de incertidumbre y es la decisión de la gente que lo implementa. El grado de confianza del estándar se reduce al grado de experiencia de quien lo interpreta, y una mala decisión te lleva: Uno, a dar una falsa sensación de seguridad, a percibir la amenaza de un nivel de riesgo completamente diferente. Dos, a establecer premisas incorrectas de protección. Tres, a no cuantificar adecuadamente el valor de los controles. Cuatro, te lleva a no poder establecer un costo asociado y te impide mejorar el proceso.

¿Cómo cuantificas la pérdida de reputación?, Â¿Cómo sabes a cuántos tarjeta habientes le afectaría saber que su institución financiera fue comprometida? Lo difícil es que todo es estimable con un grado enorme de error.

En resumidas cuentas creo que mientras sigamos queriendo manejar esto como si fuera una ciencia exacta, el analista de riesgo seguirá cayendo en el facilismo teórico, frío y calculador. Seguirá alejándose cada vez más y más de donde debería estar más cerca que nadie, para entender las variables que afectan el riesgo del que tanto hablan y poco conocen, fuera de una ecuación.


Carlos Ayala

Es consultor de seguridad informática, con más de 10 años de experiencia, SANS/GIAC Advisory Board, Mentor, Proctor, CISSP, GCIH, GCFA, GPEN entre otras y miembro de la Asociación de Seguridad Informática Mexicana (ASIMX).

Source: http://www.bsecure.com.mx/opinion/la-ciberseguridad-la-ciencia-de-lo-incierto-y-de-los-necios/

Sniffing WhatsApp messages

Currently I'm using WhatsApp a lot. Is easier, cheaper and a lot of people has it (smarphone users). One of the reasons that a lot of persons use it is that it can be use the WiFi network, so people who doesn't has 3G service can access to WhatsApp Service.

You can put your wireless card in monitor mode and sniff with WireShark the network, but is difficult follow the WhatApp packages, so researchers from Security by default develop a little sniffer that uses Winpcap and some filters to capture WhatsApp packages specifically.

Today I tried it and it works. So, what the idea?.. well.. go to coffe, restaurant, hotel, etc, etc.. where users connect for free to access to the network and capture all the data from WhatsApp ;)

And yesterday I read a note in Apple Weblog where explain that WhatsApp has been retired at iTunes Store 'cause a vulnerability. I don't know if this is the reason, but maybe.

Download WhatsApp sniffer:

http://www.securitybydefault.com/2012/01/whatsapp-al-descubierto.html

Note at Apple Weblog:

http://appleweblog.com/2012/01/whatsapp-es-retirada-del-app-store-por-razones-desconocidas

New look, old blog

export PATH=.:$PATH

I started some years ago this blog with the purpose of post about vulnerability research, security tricks, tech books and maybe, sometimes, augustian laws.

Currently my blog is full with bulshit, so… today I try to renew the blog with a new template. It's related to Command Keen, my favorite computer game when I was a child. I'll try post topics like in the past.

Hidden malware, hidden process, hidden bad things or maybe… very good things.

P.S.: ¡Oh my dog!.. I'm really bad with CSS.

Ley Augustiana CC

“Si tiene JavaScript tiene que tener un XSS”. Dedicada a Rafael Gil

vendetta

2012 v2.0

Alguién que leyo mi blog me reclamo por no tener propositos de año nuevo, y me dijo que aunque la mayoría de los propositos nunca los cumplimos, es bueno tener metas u objetivos para cumplir. Así que me planteé algunos.

No logre enumerar doce propositos, pero de todas formas las estadistican nos marcan que nunca he llegado a cumplir más de tres, así que colocare unos más mundanos.

1. Estudiar: hay bastantes cosas que me faltan por aprender, así que mi primer meta será obtener la certificación de GWAPT, que ya está muy cerca mi exámen; y mantenerme en constante aprendizaje “formal” todo el año.

2. Administración económica: soy pobre y no por no tener dinero, soy pobre por deber montones que he gastado cuando no debía, así que administrare mejor el dinero.

3. blueMammut: hum.. coff… coff… mucho que pensar, mucho por hacer.

4. Podcast: hace tiempo que vengo teniendo eso en mente, he escuchado algunos podcast de PaulDotCom en español y son buenos, pero no me gustan del todo, no se parecen a la versión en ingles. Me gustaría crear un podcast mensual o bimestral sobre seguridad, pero es algo que tengo que pensar bien, es complicado ofrecer algo nuevo.

5. Titularme: coff.. coff.. prometo que lo intentare.

6. El blog: originalmente este blog no era para los berrinches augustianos, tenia un objetivo, y era muy leído, algunos buscaban leyes tontas que los hiciera reir, otros información útil. Hoy no hay ni lo uno ni lo otro.

Ley Augustiana CLXLIX

“La cachanilla es la única especie feminoide capaz de resistir las habilidades de engatuzamiento augustiano”. Dedicada a ALGUIEN

vendetta

2012

Este año que se va es un año de recuerdos tristes.

Aprendí que no tengo suerte, que nada me sale bien, que cuando más necesite tener algo en mi para intentar luchar por quién queria no tenia nada, estoy hueco y vacio. Entendí que no merezco ser feliz.

Intente mil y una formas de huir, pero ninguna funcionó.

Busque ese cariño, esa felicidad, ese todo día a día, no lo encontré, solo consegui darme cuenta aún más de su importancia. Solo conseguí odiarme más.

El próximo año solo tengo un propósito, huir, más lejos de donde ahora, hacerme tanto daño que al fin se rompa mi interior por completo y el dolor desaparezca. Ya etendí que todo es mi culpa, solo mia y de nadie más, entre menos cerca de las personas este es mejor, cualquiera puede hacer más feliz a las personas que me rodean que yo. Esa era la paz que necesitaba entender para apostar lo que quede sin miedo.

No title

Me pongo a observar, a mirar, a leer, y siento que hecho de menos esas cosas tan bonitas del día a día que formaban parte de mi rútina, que al tiempo se convirtieron no en mi obsesión, sino en mi necesidad. Y es que las cosas cambian, dicen que nada nunca es lo mismo, pero tan solo con leer esas conversaciones, el como empezó todo, como me hiciste olvidar, como me hiciste crecer… recuerdas que tocan algo muy dentro de mi. Arde al sensación de recordar que tú fuiste la persona que me mantenia en pie, que me hizo sentir, que me hizo vivir… y yo le perdí.